Moderní kancelář musí být samozřejmě moderně zabezpečená – to znamená, že příslušná řešení by měla odpovídat aktuálním trendům. Pojďme se podívat na několik z nich.
Stručně by se dalo shrnout, že hlavními bezpečnostními riziky jsou dnes mobilní zařízení (ona často zmiňovaná zkratka BYOD, ale stejně tak jde i o zařízení vlastněná firmami), cloudové služby a internet věcí. Problém ale představují i zaměstnanci a IT oddělení – respektive prostě lidé a jejich návyky. Tyto závěry nejsou jen dílem bezpečnostních firem, přiklánějí se k nim i další analýzy.
Není to tak, že by si IT oddělení nebyla vědoma rizika mobilních technologií. V celosvětovém průzkumu společnosti Oracle uvedlo v této souvislosti obavy z úniku dat 93 % respondentů. Organizace se podle průzkumu snaží o centrální řízení pohybu dat spíše, než aby spoléhaly na uživatele. A dobře dělají, protože jiný průzkum, tentokrát z ČR, uvádí následující čísla: 22 % obyvatel již podle studie Intelu přišlo o svůj mobil. Přesto si 60 % uživatelů obsah svého smartphonu nikdy nezálohuje, u tabletů je tento podíl ještě vyšší – 67 %. Velmi málo se využívají aplikace pro případ ztráty nebo krádeže, ať už jde o další sledování, zablokování přístroje nebo alespoň vzdálené smazání dat. Postupy pro vzdálené vymazání dat by reálně v případě ztráty zařízení využilo jen 18 % majitelů chytrých telefonů, u tabletů je toto číslo dokonce pouze 2 %.
K tomu se dle jiných studií přidávají další znepokojivá čísla o tom, jak lidé po ztrátě mobilu (ať už firemního, nebo svého, ovšem s firemními daty) o incidentu neinformují, a to buď vůbec, nebo se zpožděním. Výrobci bezpečnostních řešení, jako například český Avast Software, reagují na popsané trendy vývojem stále nových produktů a funkcí, které by zabránily úniku citlivých informací. Aplikace Avast Mobile Security dosáhla rychle 100 miliónů stažení a díky nové funkci Anti-Theft již umožnila nalézt více než 2,2 milionů ukradených či ztracených telefonů. Tato funkce navíc, v případě trvale ztracených zařízení, umožňuje díky zálohování snadnou obnovu dat a pokračování v práci bez dalších prodlev.
Průzkum Cisco mezi více než 12 tisíci zaměstnanci ukázal, že téměř dvě třetiny lidí ve firmách neví o aktuálních bezpečnostních problémech prakticky nic a ani je to moc nezajímá. Spoléhají na to, že to, co jim IT prostředí umožňuje udělat, také udělat mohou (je-li to nebezpečné, měl to správce zakázat). Lidé se tak v zaměstnání chovají mnohem riskantněji než při používání svého domácího počítače.
Na uživatele tedy spoléhat nelze, jenže problém je i na druhé straně. V IT odděleních a u vývojářů. Podle analýzy společnosti Gartner až 75 % mobilních aplikací obsahuje bezpečnostní chyby. Používají-li se v podnikovém prostředí, představují potenciální ohrožení (a zde je jedno, zda běží na zařízeních zaměstnanců nebo firmy). Chybí odborníci na testování mobilních aplikací, i ve velkých firmách se před jejich nasazením zaměřují spíše na analýzy funkčnosti než na bezpečnost. Dalším problémem je, že podnikové IT mobilní aplikace často chybně konfigurují. Podle Gartneru bude do roku 2017 proto většina útočníků provádět nikoliv sofistikované útoky, ale zaměřovat se na špatnou konfiguraci mobilních zařízení a aplikací – asi jako dnes bývají jejich oblíbeným cílem špatně nakonfigurované webové servery, firewally nebo routery.
Z hlediska technologií je dnes vedle mobilních zařízení a trendu BYOD další velkou otázkou cloud. Debaty na toto téma se často soustředí na otázku, zda (nebo jak) se mají podnikové aplikace a data přesouvat do cloudu, problém je ale mnohem širší. Cloud, podobně jako mobilní zařízení, představuje prostředí, v němž se podniková data pohybují prakticky nekontrolovaně.
Organizace Intralinks Holdings a Ponemon Institute například vypracovaly analýzu, jak zaměstnanci používají své soukromé cloudové služby (Dropbox, Gmail, úložiště od Google, Applu a Microsoftu) i pro práci s firemními dokumenty včetně těch citlivých. Bezpečnostní politiky většinou existují jen na papíře, nikdo je nedodržuje a nikdo neví, že (respektive jak konkrétně) jsou porušovány. Většina zaměstnanců z výše uvedeného průzkumu přitom připouští, že už omylem poslali citlivý dokument nesprávnému příjemci. Dalším problémem je, že dokumenty mají svoji životnost. Na konci cyklu mají být archivovány nebo odstraněny, ani tato pravidla však zaměstnanci většinou nedodržují. Příslušný průzkum byl proveden v USA, Velké Británii a Německu, u nás by však sotva dopadl jinak.
Firemní IT oddělení často nejen nevědí o rizikovém chování zaměstnanců, ale nedokáží zaznamenat ani samotný incident. Podle tuzemského průzkumu společnosti S&T CZ ve většině analyzovaných firem vedení vůbec nevědělo, že u nich dochází k únikům dat. Pouze 8 % firem dokázalo zaregistrovat bezpečnostní incident a vyhodnotit jeho vážnost. Analýza vychází z bezpečnostních auditů 300 organizací s 50 a více zaměstnanci, jak jsou na tom pak asi malé firmy s často jednočlenným IT oddělením?
Roman Veselý, bezpečnostní expert ALWIL Trade
(Partnerský příspěvek)